KLAUZULA INFORMACYJNA

  1. Czym jest RODO i jaki jest jego cel?

RODO to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

RODO obowiązuje od 25 maja 2018 r.

RODO zastępuje dyrektywę 95/46/WE, która regulowała na terenie Unii Europejskiej zasady przetwarzania danych osobowych, a ze względu na postęp technologiczny jej przepisy stały się przestarzałe i niewystarczające.

RODO w szczególności dba o bezpieczeństwo danych osobowych i chroni prawo do prywatności.

  1. Słowniczek pojęć

Dane osobowe – to informacje, które identyfikują (lub pozwalają zidentyfikować) osobę fizyczną (zwaną też „osobą, której dane dotyczą”). Będą to w szczególności: imię i nazwisko dziecka, opiekuna prawnego lub rodzica, adres zameldowania, zamieszkania bądź korespondencyjny, numer telefonu, adres poczty elektronicznej, PESEL, informacje o rodzinie, informacje dotyczące zdrowia, obraz z monitoringu wizyjnego itp.

Przetwarzanie danych osobowych – to działania dotyczące danych osobowych. Mogą one odbywać się automatycznie lub manualnie. O przetwarzaniu mówimy wtedy, gdy dane: zbieramy, utrwalamy, organizujemy, porządkujemy, przechowujemy, adaptujemy lub modyfikujemy, pobieramy, przeglądamy, wykorzystujemy, ujawniamy (np. przesyłając), rozpowszechniamy, udostępniamy, dopasowujemy lub łączymy, ograniczamy, usuwamy lub niszczymy.

Administrator – To osoba lub podmiot, który (samodzielnie lub wspólnie z innymi Administratorami) ustala, po co i jak będzie przetwarzać dane osobowe. Administratorem danych osobowych jest Zespół Szkół Zawodowych w Nasielsku z siedzibą ul. Lipowa 10, 05-190 Nasielsk.

Podmiot przetwarzający– to osoba fizyczna lub podmiot, który przetwarza dane osobowe w imieniu administratora.

Szczególne kategorie danych osobowych – pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

  1. 6 podstawowych zasad RODO
  • zasada zgodności z prawem, rzetelności i przejrzystości: dane osobowe są przetwarzane w sposób zgodny z przepisami prawa. Informacje o przetwarzaniu danych osobowych formułowane są jak najprościej i przekazywane przy użyciu ogólnodostępnych kanałów informacji, takich jak: strona internetowa, e-mail, telefon, tablica informacyjna;
  • zasada minimalizacji i adekwatności danych: przetwarzane są tylko te dane, które są rzeczywiście potrzebne, by zrealizować dany cel;
  • zasada prawidłowości danych: przetwarzane dane powinny być zgodne z prawdą, aktualne i dokładne;
  • zasada ograniczenia celu oraz przechowywania przetwarzanych danych: dane osobowe zbierane są jedynie w konkretnym, wyraźnym i prawnie uzasadnionym celu, którego nie można byłoby osiągnąć w inny sposób. Dane przechowywane są w formie, która umożliwia identyfikację osoby, której dane dotyczą i przetwarzane tylko tak długo, jak jest to niezbędne, by zrealizować cel, dla którego zostały pozyskane. Wyjątkiem od tej zasady są dane, które musimy przetwarzać ze względu na obowiązujące przepisy prawa;
  • zasada integralności i poufności danych: zastosowane rozwiązania techniczne i organizacyjne, zapewniają bezpieczeństwo przetwarzanym danym, chronią m. in. przed: niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, ujawnieniem, zniszczeniem lub uszkodzeniem;
  • zasada rozliczalności: możliwość wykazania, w sposób wymagany przez prawo, że dane osobowe przetwarzane są w zgodzie z przepisami prawa, z uwzględnieniem ochrony danych w fazie projektowania (np. rozbudowa sieci teleinformatycznej, zmiana sposobu przechowywania dokumentacji papierowej) oraz zapewnienia domyślnej ochrony danych osobowych.
  1. Sposoby przetwarzania danych osobowych

Najczęściej przetwarzane są ogólne dane takie, jak: imię i nazwisko, PESEL, data urodzenia, adres korespondencyjny, zamieszkania oraz zameldowania, e-mail, numer telefonu, identyfikator internetowy (adres IP), wykształcenie, NIP, REGON, numer i seria dowodu osobistego/paszportu, data ważności dowodu osobistego/paszportu; inne dane konieczne do wypełnienia obowiązku prawnego w tym dane o zdrowiu.

Dane osobowe są przetwarzane na podstawie:

  • zgody wyrażonej przez osobę, której dane są przetwarzane
  • umowy lub w celu przygotowania umowy
  • obowiązku prawnego – nałożonego przez przepisy prawa obowiązku realizacji zadań, dla których placówka została powołana
  • prawnie uzasadnionego interesu Administratora, który obejmuje m. in.:
  • archiwizowanie danych;
  • dochodzenie roszczeń lub obrona przed nimi;

Przetwarzamy dane dzieci oraz szczególne kategorie danych osobowych t. j. dane o zdrowiu.

  1. Źródła pochodzenia danych osobowych

Dane osobowe pozyskane są bezpośrednio od osób, których dotyczą, ich opiekunów prawnych bądź rodziców.

  1. Obowiązki informacyjne wobec osób, których dane dotyczą

Wszystkie informacje na temat ochrony danych osobowych są przez cały czas dostępne na stronie internetowej http://zsznasielsk.pl oraz w siedzibie Administratora.

Indywidualne informacje przekazywane są w następujących sytuacjach: zbierania danych zmiany celu ich przetwarzania lub korzystania z prawa dostępu do danych.

W przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą, informacja przekazywana jest od razu. Gdy dane pochodzą z innego źródła, przekazanie je osobie, której dotyczą następuje:

  • – w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od pozyskania danych;
  • – najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, w przypadku wykorzystywania danych właśnie w komunikacji z tą osobą;

chyba, że udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

Sposoby przekazywania informacji:

  • w klauzulach informacyjnych – na dokumentach przeznaczonych dla osoby, której dane dotyczą;
  • osobiście bądź telefonicznie;
  • elektronicznie, w tym poprzez umieszczenie tej informacji na stronie internetowej.
  1. Uprawnienia osób, których dane dotyczą oraz sposób ich realizacji

Prawo dostępu do danych

Osoba, której dane dotyczą, ma prawo dostać informację o tym, czy jej dane osobowe są przetwarzane. Wniosek taki można złożyć w siedzibie bądź elektronicznie.

Osoba ma prawo zostać poinformowana o:

  • celach przetwarzania danych osobowych;
  • kategoriach przetwarzanych danych osobowych;
  • odbiorcach lub kategoriach odbiorców, którym ujawniliśmy lub ujawnimy dane –w szczególności dotyczy to odbiorców w państwach innych niż państwa Europejskiego Obszaru Gospodarczego lub organizacji międzynarodowych;
  • czasie planowanego przetwarzania danych osobowych (o ile można to określić) lub kryteria jego ustalania.

Prawo do sprostowania danych

Osoba, której dane dotyczą może żądać niezwłocznego sprostowania jego nieprawidłowych danych osobowych lub uzupełnienia danych niekompletnych. Korektę można złożyć w siedzibie Administratora lub elektronicznie po zweryfikowaniu tożsamości osoby.

Prawo do usunięcia danych (prawo do bycia zapomnianym)

Osoba, której dane dotyczą, może żądać usunięcia jej danych następujących przypadkach:

  • dane nie są już niezbędne, by zrealizować cel, dla którego zostały zebrane,
  • dane nie były przetwarzane zgodnie z RODO lub innymi przepisami prawa.

Osoba, która chce, by usunąć jej dane, może w siedzibie Administratora lub elektronicznie (po zweryfikowaniu tożsamości osoby), złożyć wniosek w którym określi swoje żądania. Zostaną one uwzględnione, jeśli nie będą istniały prawnie uzasadnione podstawy, by kontynuować przetwarzanie. Jeżeli wniosek zostanie pozytywnie rozpatrzony, a dane usunięte, zgodnie z prawem zostaną zachowane informacje o tym, na czyj wniosek to zostało wykonane. Żądanie będzie wykonane bez zbędnej zwłoki, z uwzględnieniem okoliczności i możliwości technicznych.

Prawo do ograniczenia przetwarzania danych osobowych

Osoba, której dane dotyczą, może również żądać ograniczenia przetwarzania jego danych.

Prawo to dotyczy następujących sytuacji:

  • Osoba, której dane dotyczą, wskaże, że przetwarzane dane nie są prawidłowe (analiza przetwarzanych danych i propozycja korekty);
  • Osoba, której dane dotyczą uważa, że dane przetwarzane są niezgodnie z prawem i żąda, ograniczenia ich wykorzystania (ale sprzeciwia się usunięciu).
  • Dane nie są niezbędne, by osiągnąć zamierzony cel, ale osoba, której dane dotyczą, sprzeciwia się ich usunięciu, gdyż potrzebuje ich, aby dochodzić lub bronić swoich roszczeń.

Ograniczymy przetwarzanie takich danych, oznaczymy właściwe dane i nie usuniemy ich do czasu, gdy osoba odwoła swoje żądanie ograniczenia.

Mogą zdarzyć się sytuacje, gdy dane będą przetwarzane, pomimo żądania osoby, której dane dotyczą, aby ograniczyć przetwarzanie jej danych. Dotyczy to w szczególności sytuacji, ustalania, dochodzenia lub obrony przed roszczeniami.

Prawo do przenoszenia danych

Każda osoba, której dane dotyczą, ma prawo przenieść swoje dane do innego Administratora, jeśli dane są przetwarzane elektronicznie. Taką prośbę można złożyć w siedzibie Administratora lub elektronicznie (po zweryfikowaniu danych występującego z prośbą). Dane zostaną przekazane bezpośrednio osobie, która o nie wnioskuje, aby mogła przenieść je do innego Administratora (nie wypracowano jak dotąd standardu bezpiecznego przenoszenia danych pomiędzy administratorami). Prawo zostanie zrealizowane bez zbędnej zwłoki z uwzględnieniem możliwości technicznych.

Prawo sprzeciwu

Osoba, której dane dotyczą, może złożyć sprzeciw z przyczyn związanych z jej szczególną sytuacją (gdy dane przetwarzane są na podstawie prawnie uzasadnionego interesu Administratora).

Sprzeciw zostanie przeanalizowany i zaproponowane zostanie rozwiązanie adekwatne do danej sytuacji.

  1. Zasady postępowania przy naruszeniach ochrony danych

Naruszenie ochrony danych osobowych następuje wtedy, gdy przypadkowo lub niezgodnie z prawem dane osobowe zostaną zniszczone, utracone, zmodyfikowane, ujawnione lub udostępnione.

Osoba, której dane dotyczą zostanie niezwłocznie poinformowana, jeśli ryzyko naruszenia praw i wolności zostanie oszacowane  jako wysokie; w przypadku niemożności bezpośredniego poinformowania zostanie umieszczony odpowiedni komunikat na stronie WWW oraz w siedzibie Administratora.

Prezes Urzędu Ochrony Danych Osobowych zostanie poinformowany w sytuacji, gdy mogło dojść do naruszenia praw lub wolności osób fizycznych z prawdopodobieństwem większym niż niskie niezwłocznie, w miarę możliwości technicznych, jednak nie później niż w terminie 72 godzin.

  1. Cele przetwarzania i przekazywanie danych osobowych

Zgodnie z prawem, dane osobowe można przekazywać innym podmiotom, aby zawierać i wykonywać umowy, realizować ustawowe obowiązki oraz dbać o swój prawnie uzasadniony interes. Dane osobowe przekazywane instytucjom w związku z realizacją obowiązków ustawowych t. j.: prowadzenie działalności dydaktyczno-wychowawczej, prowadzenie dokumentacji przebiegu nauczania, udzielanie pomocy psychologiczno-pedagogicznej, w szczególności są to:

  1. Firma Vulcan Sp.zoo
  2. Firma Hermes
  3. Firma Awret sprawującej nadzór techniczny nad sprzętem komputerowym w szkole
  4. Biura podróży organizujące wycieczki szkolne
  5. Ubezpieczyciele wycieczek szkolnych
  6. Ubezpieczyciele NNW,
  7. komitety: olimpiad, konkursów przedmiotowych, zawodów sportowych

Na podstawie wyrażonej zgody, dane osobowe t.j.:

  • imię, nazwisko, wizerunek, klasa udostępniane są: portalom społecznościowym, facebookowi, na stronie internetowej szkoły, mediom, w ulotkach informacyjnych, gazetce szkolnej, w celu promocyjno – informacyjnym
  • imię, nazwisko, adres, nr telefonu, w celu badania zapotrzebowania na kierunki kształcenia na rynku pracy oferowane przez szkołę, przechowywane nie dłużej niż 5 lat i nie są przekazywane żadnym odbiorcom
  • wizerunek, imię, nazwisko, klasa w identyfikatorze w celu zapewnienia bezpieczeństwa
  • wizerunek – monitoring w celu zapewnienia bezpieczeństwa
  • imię, nazwisko, data urodzenia, adres, klasa, telefon kontaktowy – w celu udziału w zawodach sportowych, konkursach, olimpiadach
  • imię, nazwisko, data i miejsce urodzenia, adres zamieszkania, klasa, telefon kontaktowy, imiona i nazwiska rodziców, adres email, PESEL – udział w wycieczkach szkolnych organizowanych przez szkołę i biura podróży
  • imię, nazwisko, data i miejsce urodzenia, adres zamieszkania, klasa, telefon kontaktowy, imiona i nazwiska rodziców, adres email, PESEL – ubezpieczenie dziecka na wycieczki zagraniczne
  • imię, nazwisko, data i miejsce urodzenia, PESEL, adres zamieszkania – ubezpieczenie dziecka (NNW) w firmie ubezpieczeniowej.
  1. Zasady przekazywania danych poza Polskę

Dane osobowe można przekazywać podmiotom (oczywiście w sytuacjach, gdy są ku temu podstawy) z Europejskiego Obszaru Gospodarczego (EOG). Tworzą go państwa Unii Europejskiej, Islandia, Norwegia i Liechtenstein. Do państwa trzeciego (spoza EOG) można przekazywać dane osobowe, jeżeli gwarantuje ono przynajmniej taką ochronę danych, jaka obowiązuje w Polsce. W praktyce taką gwarancją jest to, że dane państwo zostało uznane przez Komisję Europejską za kraj, który zapewnia odpowiednią ochronę. Można bez zgody urzędu nadzorującego ochronę danych osobowych w Polsce przekazywać dane osobowe do innych państw trzecich, gdy w umowach z podmiotami z tych państw zastosowaliśmy specjalne rozwiązania, przewidziane przez prawo lub zatwierdzone przez urząd nadzorujący ochronę danych osobowych w Polsce.

  1. Okres przetwarzania danych osobowych

Dane są przetwarzane przez czas, jaki jest niezbędny, aby osiągnąć cel przetwarzania. Konkretny okres jest wskazywany w dokumentacji przekazywanej osobom, których dane dotyczą. Zasada ograniczenia przechowywania danych osobowych zabezpiecza dane przed ich przetwarzaniem przez nieograniczony okres. Po osiągnięciu celu przetwarzania, dane są usuwane (ich odzyskanie jest wówczas niemożliwe). Wyjątkiem są sytuacje, gdy dane przechowywane są z powodu odrębnych przepisów.

Dane są usuwane w szczególności, gdy:

  • osoba, której dane dotyczą, cofnie zgodę na przetwarzanie danych osobowych (jeżeli to zgoda była podstawą przetwarzania);
  • osoba, której dane dotyczą, skutecznie sprzeciwi się dalszemu przetwarzaniu (jeżeli podstawą przetwarzania był nasz uzasadniony interes);
  • nastąpi przedawnienie ewentualnych roszczeń (jeżeli dane są przetwarzane, aby realizować umowę);
  • upłyną terminy, które wynikają z innych przepisów (np. Ustawy o systemie oświaty, Ustawy o rachunkowości, Kodeksu pracy itp.).
  1. Jak można skarżyć się na ochronę swoich danych osobowych?

Jeśli osoba, której dane dotyczą, podejrzewa, że jej dane są przetwarzane niezgodnie z RODO, może wnieść skargę do organu nadzorczego w zakresie ochrony danych osobowych w sposób wskazany na stronie internetowej organu nadzorczego pod adresem https://uodo.gov.pl/.

  1. Automatyczne podejmowanie decyzji

Automatyczne podejmowanie decyzji polega na tym, że decyzje zapadają bez udziału człowieka, w oparciu o modele i algorytmy. Zespół Szkół Zawodowych w Nasielsku nie przetwarza w ten sposób danych.

  1. Profilowanie danych

Profilowanie to zautomatyzowany proces przetwarzania danych, kiedy wykorzystywane algorytmy czy modele matematyczne, określają cechy, preferencje i przyszłe zachowania. Zespół Szkół Zawodowych w Nasielsku nie wykorzystuje profilowania.

  1. Inspektor Danych Osobowych

Powołaliśmy Inspektora Danych Osobowych, który odpowiada za przestrzeganie przepisów o ochronie danych.

Kontakt z Inspektorem Danych Osobowych:

Aneta Mokrzycka-Roguska

e-mail: iod@zsznasielsk.pl